Execution

攻擊者嘗試任意執行程式碼與指令、控制工控設備的功能、調整參數與修改資料。

T0863 User Execution

攻擊者需要仰賴受害目標的使用者執行惡意程式、安裝軟體、下載信件的附件，甚至是誘使使用者以高權限執行檔案或指令。

攻擊者可能利用 word 或 excel 中的「巨集」功能，撰寫惡意程式碼如 Visual Basic，並引導使用者執行巨集
。

常見如利用信件寄送安裝更新軟體，但其實是木馬、後門，或是 zip 壓縮惡意程式，繞過信箱掃描。

T0853 Scripting

攻擊者利用腳本語言如 PowerShell、VBScript、JavaScript、WScript，透過寫好的惡意程式(腳本)，提供給受害目標，誘使受害者執行。

T0834 Native API

攻擊者使用原生程式內部的 API 進行溝通，這些 API 可以影響硬體設備、記憶體或系統中的 process。

比如說利用 PLC 系統功能的 TCON 和 TDISCON 啟動或結束與系統的 TCP 連線，透過 TRCV 和 TSEND 與設備發送或接收緩衝區的資料。

T0823 Graphical User Interface

攻擊者透過圖形化介面(GUI)進行攻擊，設備可能支援 CLI 和 GUI，而駭客請向使用 GUI 的原因，可能是因為比較直覺，也可以直接透過滑鼠進行操作，可以透過 Linux 中 VNC 與 Windwos 的 RDP 協定，存取這些機器後，並利用 GUI 執行程式。